Tin Tức

Tổng hợp các bài viết, kinh nghiệm, chia sẻ kiến thức hữu ích về việc làm onsite, nhân sự onsite.

Series Authentication: Phần 3: OAuth - "Siêu Sao" Xác Thực Cho Các Hệ Thống Lớn

OAuth là một trong những phương pháp xác thực phổ biến nhất hiện nay, được sử dụng bởi các gã khổng lồ công nghệ như Google, Facebook, và GitHub. Bài viết này sẽ giúp bạn hiểu cách hoạt động của OAuth, ưu nhược điểm, và tại sao nó được ưa chuộng trong các ứng dụng lớn. Cùng với đó là những ví dụ thực tế và cách triển khai OAuth trong dự án của bạn.
image-hatonet

1. OAuth Là Gì?

OAuth (Open Authorization) là một giao thức ủy quyền được thiết kế để cho phép các ứng dụng bên thứ ba truy cập một phần tài nguyên người dùng trên một dịch vụ mà không cần chia sẻ mật khẩu của họ. Nghĩa là bạn có thể cấp quyền cho một ứng dụng (ví dụ như ứng dụng mua vé online) truy cập vào tài khoản Google của bạn, nhưng bạn không cần đưa cho họ mật khẩu của Google. Đây là sự khác biệt lớn của OAuth so với các phương pháp xác thực truyền thống.

Ví dụ vui: Hãy tưởng tượng bạn đang ở một nhà hàng và muốn gọi món nhưng không muốn tự mình ra gọi. Bạn có thể nhờ một người bạn ra gọi giúp bạn mà không cần phải đưa ví (mật khẩu). Người bạn này sẽ chỉ được phép gọi món cho bạn (ủy quyền), chứ không được sử dụng tiền của bạn để mua sắm tùy ý.

2. Cách Hoạt Động Của OAuth

OAuth hoạt động dựa trên quy trình ủy quyền giữa người dùng, ứng dụng khách (client), và nhà cung cấp dịch vụ (service provider). Quá trình này có thể diễn ra như sau:

  1. Người dùng (resource owner) muốn đăng nhập vào ứng dụng A (client) bằng tài khoản của nhà cung cấp dịch vụ B (ví dụ: Google).
  2. Ứng dụng A chuyển người dùng đến trang đăng nhập của nhà cung cấp B.
  3. Người dùng đăng nhập vào tài khoản của họ trên B và cấp quyền cho A truy cập vào một số thông tin cụ thể (ví dụ: email, danh bạ).
  4. Nhà cung cấp B tạo ra một "access token" và trả về cho A.
  5. Ứng dụng A sử dụng access token này để truy cập thông tin của người dùng từ nhà cung cấp B.

Ví dụ vui: Giống như bạn cho người bạn của mình (ứng dụng A) một tấm thẻ VIP để đi vào một khu vực cụ thể trong nhà hàng (nhà cung cấp B). Người bạn này chỉ có thể sử dụng thẻ đó để làm đúng việc bạn yêu cầu, không hơn không kém.

3. Các Phiên Bản Của OAuth

OAuth hiện có hai phiên bản phổ biến:

  • OAuth 1.0: Phiên bản đầu tiên, nhưng khá phức tạp và ít được sử dụng.
  • OAuth 2.0: Phiên bản mới hơn, đơn giản hơn, và trở thành tiêu chuẩn cho các ứng dụng hiện đại. Hầu hết các ví dụ trong bài này sẽ liên quan đến OAuth 2.0.

4. Lợi Ích Của OAuth

OAuth đem lại nhiều lợi ích đáng kể, đặc biệt là khi ứng dụng vào các hệ thống lớn và cần tương tác với nhiều dịch vụ khác nhau:

  • Bảo mật cao: Người dùng không cần phải cung cấp mật khẩu cho ứng dụng bên thứ ba. Thay vào đó, họ chỉ cần ủy quyền.
  • Quyền truy cập có kiểm soát: Người dùng có thể quyết định chia sẻ một phần thông tin cá nhân (ví dụ: chỉ email) thay vì toàn bộ dữ liệu.
  • Tiện lợi cho người dùng: Người dùng không cần tạo thêm tài khoản mới, mà có thể đăng nhập vào nhiều ứng dụng khác nhau bằng một tài khoản duy nhất (ví dụ: Google, Facebook).
  • Dễ dàng hủy quyền: Người dùng có thể hủy quyền của các ứng dụng mà họ đã ủy quyền bất kỳ lúc nào mà không cần thay đổi mật khẩu.

5. Nhược Điểm Của OAuth

Mặc dù có nhiều lợi ích, OAuth cũng không tránh khỏi những hạn chế nhất định:

  • Phức tạp trong việc triển khai: So với các phương pháp xác thực như Basic Auth hay Token-based Auth, OAuth phức tạp hơn nhiều, đặc biệt với các nhà phát triển mới.
  • Phụ thuộc vào bên thứ ba: Ứng dụng của bạn sẽ phụ thuộc vào hệ thống của nhà cung cấp dịch vụ (Google, Facebook, v.v.). Nếu dịch vụ này bị gián đoạn, ứng dụng của bạn cũng sẽ bị ảnh hưởng.
  • Quyền hạn có thể bị lạm dụng: Nếu không được cấu hình cẩn thận, ứng dụng có thể yêu cầu quyền truy cập quá mức, dẫn đến lo ngại về bảo mật.

6. Các Thành Phần Chính Trong OAuth

Để hiểu rõ hơn về cách hoạt động của OAuth, chúng ta cần biết các thành phần chính trong giao thức này:

  • Resource Owner (Chủ sở hữu tài nguyên): Là người dùng thực tế, người đang sở hữu tài khoản và dữ liệu trên dịch vụ.
  • Client (Ứng dụng khách): Là ứng dụng yêu cầu quyền truy cập vào tài nguyên của người dùng.
  • Resource Server (Máy chủ tài nguyên): Là máy chủ lưu trữ dữ liệu của người dùng (ví dụ: Google, Facebook).
  • Authorization Server (Máy chủ ủy quyền): Là máy chủ xác thực thông tin người dùng và cấp quyền truy cập (ví dụ: Google OAuth Server).

7. OAuth Grant Types

OAuth 2.0 có nhiều cách để cấp quyền truy cập, gọi là "grant types". Dưới đây là một số loại phổ biến:

  • Authorization Code Grant: Loại này thường được sử dụng cho các ứng dụng web. Ứng dụng chuyển hướng người dùng đến trang đăng nhập của bên thứ ba, sau đó nhận mã ủy quyền và đổi lấy access token.
  • Implicit Grant: Thường được sử dụng cho các ứng dụng SPA (Single Page Application). Access token được cấp trực tiếp mà không cần đổi mã ủy quyền.
  • Client Credentials Grant: Dùng cho các ứng dụng server-to-server, nơi ứng dụng khách đại diện cho chính nó, không phải người dùng.
  • Password Grant: Người dùng nhập trực tiếp username và password vào ứng dụng khách, ứng dụng gửi thông tin này đến máy chủ để lấy access token.

Ví dụ minh họa: Các loại grant giống như các cách khác nhau để xin giấy phép lái xe: bạn có thể học và thi, hoặc nhờ người khác xin giúp nếu hợp pháp.

8. Triển Khai OAuth

Dưới đây là một ví dụ cơ bản về cách triển khai OAuth 2.0 trong một ứng dụng Node.js, sử dụng Passport.js – một middleware cho xác thực:

const express = require('express');
const passport = require('passport');
const GoogleStrategy = require('passport-google-oauth20').Strategy;

passport.use(new GoogleStrategy({
    clientID: 'YOUR_GOOGLE_CLIENT_ID',
    clientSecret: 'YOUR_GOOGLE_CLIENT_SECRET',
    callbackURL: '/auth/google/callback'
  },
  (accessToken, refreshToken, profile, done) => {
    // Xử lý thông tin người dùng
    return done(null, profile);
  }
));

const app = express();

app.get('/auth/google',
  passport.authenticate('google', { scope: ['profile', 'email'] })
);

app.get('/auth/google/callback', 
  passport.authenticate('google', { failureRedirect: '/' }),
  (req, res) => {
    // Thành công, chuyển hướng người dùng về trang chủ
    res.redirect('/');
  }
);

app.listen(3000, () => {
  console.log('Ứng dụng đang chạy trên cổng 3000');
});

Trong ví dụ này, khi người dùng nhấp vào nút "Đăng nhập bằng Google", họ sẽ được chuyển đến trang Google để đăng nhập và ủy quyền cho ứng dụng truy cập vào thông tin cá nhân.

9. Khi Nào Nên Sử Dụng OAuth?

  • Khi bạn muốn tích hợp các dịch vụ bên ngoài như Google, Facebook, GitHub để đăng nhập.
  • Khi bạn cần ủy quyền mà không cần phải xử lý mật khẩu người dùng.
  • Khi bạn phát triển các hệ thống lớn với nhiều dịch vụ phụ thuộc.

10. Kết Luận

OAuth là một giải pháp mạnh mẽ và tiện lợi cho việc xác thực và ủy quyền trong các hệ thống hiện đại. Nó giúp bạn tích hợp các dịch vụ bên thứ ba mà không cần xử lý thông tin nhạy cảm như mật khẩu. Tuy nhiên, việc triển khai OAuth cần có kiến thức chuyên sâu và sự cẩn thận để đảm bảo an toàn.

Hãy tưởng tượng OAuth như một chiếc thẻ VIP giúp bạn truy cập vào các khu vực đặc quyền mà không cần phải "show" mật khẩu. Nhưng hãy nhớ giữ thẻ cẩn thận và không để rơi vào tay kẻ xấu nhé!

 

Hatonet kết nối doanh nghiệp ITO toàn cầu.
Giúp các doanh nghiệp IT Việt Nam tiết kiệm chi phí,tìm kiếm đối tác,mở rộng mạng lưới.

- Mở rộng kênh tìm kiếm khách hàng gia tăng doanh thu.

- Tiết kiệm chi phí quan hệ tìm đối tác.

- Ứng tuyển trực tuyến bất cứ lúc nào khi có yêu cầu.

- Trực tiếp liên kết với công ty quốc tế

Liên hệ :

Email: hello@hatonet.vn

Zalo: https://zalo.me/hatonet

hatonet